跳至正文
创始价格 — 早期客户锁定立即开始 →

智能体工作流:模式、安全与生产设计

智能体工作流是一种多步骤AI流程,其中一个或多个智能体自主决定调用哪些工具、何时将子任务委派给其他智能体,以及如何根据中间结果调整方法。与每个步骤硬编码且只执行一次的固定流水线不同,智能体工作流是动态的:智能体读取环境、推理状态并选择下一个动作。这种自主性是其功能所在,也是攻击面所在。

OpenLegion 是一个安全优先的 AI 智能体平台,将智能体工作流设计视为工程学科:每个步骤在隔离容器中运行,凭据从不出现在智能体进程中,每个迭代循环都有在基础设施层强制执行的硬停止条件。

什么是智能体工作流?

智能体工作流是一种多步骤AI流程,自主智能体在其中选择工具、委派子任务,并根据中间结果更新执行计划,与每个步骤在设计时固定的静态流水线形成对比。

TL;DR

  • 四种核心模式:ReAct 循环、规划与执行、反思循环、并行扇出。每种模式都有不同的故障模式。
  • ReAct(Reason + Act,Yao et al. 2023)是应用最广泛的模式,在 LangGraph、OpenAI Agents SDK、AutoGen 和 OpenLegion 中均有使用。
  • 主要攻击向量:通过工具结果进行提示注入(OWASP LLM Top 10 2025,LLM02)。恶意网页或文档可以劫持智能体的下一个动作。
  • 失控循环不是边缘情况:没有硬停止条件的反思循环或 ReAct 循环会一直运行直到耗尽预算。
  • OpenLegion 缓解措施:每个智能体的步骤预算(硬迭代限制)、容器隔离(被攻陷的步骤无法访问其他智能体的凭据)、零遥测。
  • 步骤预算与令牌预算:两者都很重要。令牌预算限制支出;步骤预算限制无界推理循环。

智能体工作流与流水线的区别

传统流水线执行固定序列:步骤1、步骤2、步骤3。开发者在设计时定义每个转换。系统是确定性的:相同输入产生相同执行路径。

智能体工作流在每个步骤引入决策点。智能体读取当前状态,选择一个动作(调用工具、委派给其他智能体、生成最终回答,或重新循环),并更新状态。执行路径在运行时由模型决定,而非开发者。

这一区别有直接的安全影响。在固定流水线中,被攻陷步骤的爆炸半径限于该步骤的输出。在智能体工作流中,被攻陷的步骤可以指示智能体采取额外行动:调用外部 API、泄露数据、生成影响下游步骤的恶意输出。AI 智能体安全指南涵盖完整的威胁模型;本页重点介绍工作流模式选择如何影响攻击面。

智能体工作流的四种核心模式

模式1:ReAct 循环(Reason + Act)

是什么。 由 Yao et al.(2023)引入,ReAct 在单一循环中交织推理轨迹与动作调用。每个步骤,模型生成一个 Thought(对当前状态的推理)、一个 Action(工具调用或委派)和一个 Observation(工具结果)。循环持续直到模型生成最终回答。

在哪里使用。 ReAct 是 LangGraph、OpenAI Agents SDK、AutoGen 群组聊天和 OpenLegion 中的默认循环,是应用最广泛的智能体工作流模式。

故障模式:

  • 无界循环:没有硬迭代限制,ReAct 智能体可能无限循环。
  • 通过观察进行提示注入:Observation 步骤是主要攻击面。OWASP LLM02(提示注入)是基于 ReAct 工作流的最大风险。
  • 上下文窗口膨胀:长 ReAct 链在上下文中积累思考/动作/观察三元组。

OpenLegion 缓解:每个智能体的步骤预算(编排器强制的最大迭代次数)加容器隔离。

模式2:规划与执行

是什么。 规划器智能体提前生成完整的任务分解。一个或多个执行器智能体随后执行计划的每个步骤,步骤之间不重新规划。

相比 ReAct 的优势。 将规划与执行分离可以显著降低令牌成本,繁重的推理只在规划器中进行一次。执行路径在开始前也是可检查的。

故障模式:

  • 计划漂移:如果执行器在计划中途遇到意外结果,可能会继续使用过时计划。
  • 规划器单点故障:破坏规划器输出的提示注入影响每个后续执行步骤。
  • 无自适应重规划:纯规划与执行无法处理中间结果实质性改变后续步骤内容的任务。

OpenLegion 缓解:规划器和执行器在单独的容器中运行,爆炸半径限于规划器容器输出。

模式3:反思循环

是什么。 智能体(或单独的评论家智能体)评估自己的输出并迭代直到达到质量阈值。常见于内容生成、代码编写和分析任务。

故障模式:

  • 无停止条件的失控迭代:如果评论家总能找到改进之处,循环将无限运行。
  • 自我强化错误:误解任务的模型将生成强化误解的批评。
  • 成本放大:10轮反思循环的成本是基础生成的10倍。

OpenLegion 缓解:每个智能体的步骤预算在基础设施层强制执行最大反思次数。

模式4:并行扇出

是什么。 多个智能体同时执行独立的子任务。合成智能体等待所有并行分支完成,然后合并结果。

故障模式:

  • 成本放大:N个并行智能体的成本是串行等价物的N倍。
  • 合成中毒:恶意的分支输出可能破坏合并结果。
  • 并发和共享状态冲突:CVE-2025-64168(Agno,CVSS 7.1)证明了这一点:异步并发下共享会话状态中的竞态条件导致一个用户的数据暴露给另一个用户。

OpenLegion 缓解:每个并行智能体在自己的隔离 Docker 容器中运行,分支之间没有共享可变状态。

智能体工作流的安全设计

威胁1:通过工具结果进行提示注入

工具结果是智能体工作流中的主要注入向量。OWASP LLM02(提示注入)是2025年 Top 10 中 LLM 应用面临的最大风险。对于智能体工作流,由于智能体拥有工具访问权限,风险被放大,注入的指令可能导致现实世界的动作。

OpenLegion 在工具结果摄取时应用 Unicode 清理(针对双向覆盖、标签字符和零宽字符的56个检查点),加上容器隔离以限制成功注入的爆炸半径。

威胁2:工具调用放大

在没有步骤预算的 ReAct 循环中调用昂贵工具的智能体,可能在开发者注意到之前进行数百次工具调用。实际事件包括通宵运行的智能体向第三方服务生成数千次 API 调用,触发意外账单和速率限制暂停。

OpenLegion 两者都强制执行:每个智能体的令牌预算(支出上限)和每个智能体的步骤预算(迭代上限)。任一限制达到时都会停止智能体。

威胁3:委派时凭据暴露

在智能体共享 Python 进程的框架中,智能体 B 默认可以访问智能体 A 的环境变量。被攻陷的委派步骤可能暴露工作流可用的所有凭据。

OpenLegion 通过 Mesh Host 使用 Vault 代理凭据注入。智能体 B 的容器只接收 fleet ACL 矩阵中明确分配给它的凭据,而非智能体 A 的凭据。

威胁4:无界递归和自我生成

允许智能体不限制地生成子智能体的工作流可能被操纵为指数级递归。OpenLegion 对此进行限制:can_spawn 权限需要管理员明确授权,子智能体深度受 mesh 配置限制,fleet 模板定义最大智能体数量。

步骤预算与令牌预算:为何两者都需要

令牌预算限制每个智能体每天的总支出。必要但不充分。令牌预算无法阻止 ReAct 循环使用廉价工具运行500次迭代。步骤预算限制推理迭代次数或工具调用次数,与令牌成本无关。

OpenLegion 两者都实现:由 Zone 2 中的成本追踪器强制执行的令牌预算,以及由编排器在基础设施层强制执行的步骤预算。

为生产设计智能体工作流

为任务选择正确的模式

任务类型推荐模式原因
开放式研究带步骤预算的 ReAct 循环需要自适应工具选择;限制循环
结构化多步骤任务规划与执行可检查计划;降低令牌成本
质量敏感的生成带步骤限制的反思循环自我校正;硬停止防止失控循环
并行数据收集扇出 + 合成独立子任务;每个智能体隔离
长文档处理扇出 + 顺序合并并行化分块处理

部署前定义停止条件

智能体工作流中的每个循环都需要一个在基础设施层强制执行的明确停止条件。如果由模型决定何时停止,提示注入可能阻止其停止。

在步骤边界验证输出

每个步骤边界都是在传递给下一步之前验证输出是否符合预期模式的机会。OpenLegion 的 fleet-model 协调在每个交接点应用输出验证器。实现细节见 AI 智能体编排指南

将权限限制为所需最低限度

每个智能体只应拥有其特定步骤所需的工具和权限。权限过大的智能体会放大任何攻陷的爆炸半径。OpenLegion fleet 配置中的每个智能体 ACL 矩阵在编排器层面强制执行最小权限。

智能体工作流框架:模式支持比较

框架ReAct规划与执行反思扇出步骤预算容器隔离
OpenLegion是(硬性)是(强制)
LangGraph无内置
CrewAI是(Flows)是(Crews)有限是(parallel)否(仅 CodeInterpreter)
OpenAI Agents SDK有限有限是(handoffs)
AutoGen是(group chat)仅代码用 Docker

有关这些框架详细的安全和架构比较,请参阅 AI 智能体框架比较

OpenLegion 的观点

智能体工作流是大多数框架的安全债务在生产中显现的地方。没有步骤预算的 ReAct 循环已产生五位数、六位数的意外 API 账单。CVE-2025-64168(Agno,CVSS 7.1,2025年10月)证明,共享 Python 进程的并发智能体工作流在高异步负载下可能将一个用户的会话状态暴露给另一个用户。OWASP LLM02(提示注入,2025 Top 10)将工具结果注入识别为针对基于 ReAct 的智能体工作流的主要攻击向量。

OpenLegion 从架构上解决了三个属性:硬步骤预算(编排器强制执行的最大迭代次数)、每个智能体的容器隔离(并行分支之间没有共享可变状态)、Vault 代理凭据注入(委派交接通过 Zone 2 路由)。这些不是配置选项,而是默认架构。

权衡:OpenLegion 约有59个 GitHub Star,而 LangGraph 约25,200个,CrewAI 约44,600个。有关这些模式在框架中如何实现的比较,请参阅 AI 智能体框架比较

用硬性停止条件构建智能体工作流,而非寄希望于停止。

常见问题

什么是智能体工作流?

智能体工作流是一种多步骤AI流程,其中一个或多个智能体自主选择工具、将子任务委派给其他智能体,并根据中间结果调整执行计划。与具有固定步骤的静态流水线不同,智能体工作流的执行路径在运行时由模型推理决定。四种核心模式是 ReAct 循环、规划与执行、反思循环和并行扇出,每种模式都有不同的故障模式和安全影响。

智能体工作流中的 ReAct 模式是什么?

ReAct(Reason + Act)由 Yao et al. 于2023年引入,在单一循环中交织推理轨迹与工具调用。每个步骤,模型生成 Thought(推理)、Action(工具调用)和 Observation(工具结果)。ReAct 是 LangGraph、OpenAI Agents SDK、AutoGen 和 OpenLegion 中的默认智能体工作流模式。其主要故障模式是无界迭代和通过工具结果进行的提示注入。

如何防止智能体工作流中的失控循环?

防止失控循环的唯一可靠方法是在基础设施层强制执行停止条件,而不是依赖模型自行停止。需要两种控制:步骤预算(编排器强制执行的最大迭代次数或工具调用次数)和令牌预算(成本追踪器强制执行的最大支出)。仅令牌预算无法阻止廉价工具的高频循环。仅步骤预算无法限制每次迭代高昂的 LLM 成本。OpenLegion 将两者都作为硬性上限对每个智能体执行。

智能体工作流中的规划与执行是什么?

规划与执行将智能体工作流分为两个阶段:规划器智能体提前生成完整的任务分解,一个或多个执行器智能体执行每个步骤而不重新规划。与 ReAct 相比,这降低了令牌成本(繁重的推理一次完成而非每步都进行),并使执行路径在开始前可检查。主要故障模式是计划漂移:如果执行器遇到意外结果,可能会继续使用过时计划而非报告差异。

智能体工作流中的主要安全风险是什么?

主要攻击向量是通过工具结果进行提示注入(OWASP LLM02,2025 Top 10)。当智能体读取网页、文件、数据库记录或外部 API 响应时,该内容作为受信任的输入到达。恶意文档可能包含将智能体引导至意外行动的指令。缓解措施包括工具结果摄取时的 Unicode 清理、步骤边界的输出模式验证,以及限制成功注入爆炸半径的容器隔离。

并行扇出在智能体工作流中如何工作?

并行扇出让多个智能体同时处理独立子任务,然后在合成步骤合并结果。它减少了可分解为独立工作流的任务的挂钟时间。故障模式有成本放大(N个智能体成本是N倍)、合成中毒(恶意分支输出破坏合并结果)、以及并发智能体共享可变进程状态的框架中的共享状态冲突。OpenLegion 让每个并行智能体在具有自己状态的隔离 Docker 容器中运行,防止共享状态冲突并独立限制每个分支。

智能体工作流中的计划漂移是什么?

计划漂移发生在规划与执行工作流中,当执行器智能体遇到意外中间结果时,继续执行原始计划而不是报告差异。缓解措施包括明确的计划验证检查点、关键计划步骤的人工审批门控、以及在继续之前暴露差异的结构化交接协议。OpenLegion 的 fleet-model 协调在任何交接点通过频道集成支持人在回路的检查点。

智能体工作流设计与 AI 智能体编排有何不同?

智能体工作流设计关注步骤层面的结构:使用哪种模式(ReAct、规划与执行、反思、扇出)、停止条件是什么、如何验证工具结果,以及每个步骤中凭据如何划定范围。AI 智能体编排关注 fleet 层面的协调:多个工作流如何排序、智能体如何相互传递工作、跨多智能体系统如何管理共享状态。AI 智能体编排指南涵盖在此描述的工作流模式之上运行的 fleet 层面协调原语。